前言

日前,Facebook发布了一份旨在为数据迁移和隐私问题提供指南的白皮书。

在这份报告中,Facebook列出了该公司认为跟构建隐私保护的数据迁移有关的五个基本问题。Facebook认为,通过这份白皮书不仅可以充实GDPR和CCPA等现有的数据迁移监管规定还可以帮助解决与之相关的问题。Facebook副总裁兼首席隐私官Erin Egan在博客中写道:

“从用户到初创企业再到老牌企业,数据迁移有可能造福于所有人。我们希望这篇文章将成为跟全球隐私专家、政策制定者、监管机构和其他公司进行一系列关于讨论如何进行数据迁移来在降低风险的同时实现最大化收益的对话的开端。”

LibraChina社区与pLIBRA项目始终关注于facebook创立的Libra项目和隐私话题,因此我们将本白皮书进行了中文翻译。

以下是正文

全球范围内,有越来越多的政策制定者一致认为数据可携性(即能够将与任意设备共享的数据转移到其他设备的原则)能够帮助促进在线竞争并催生新服务。竞争和数据保护领域的专业人士也一致表示,虽然数据可携性涉及尚未解决的复杂问题,但它无疑能够帮助人们控制其个人数据,并能帮助人们更加轻松地在众多在线服务提供商中进行选择。数据可携性对人类生活和市场发展的好处显而易见,正因为如此,我们的首席执行官马克·扎克伯格最近一直在呼吁制定保障数据可携性的相关法律。

但是,为了构建一个值得信任并能有效使用的可携性工具,我们应该制定明确的规则,以规定哪些类型的数据应具有可携性,以及在不同提供商之间传输这些数据的过程中应由谁负责保护这些数据。本白皮书旨在推进关于此类规则的沟通探讨。

我们希望本白皮书能引导全球利益相关者展开一系列对话,讨论如何以不侵犯隐私的方式构建数据可携性产品,并同时保持在线服务的竞争活力。通过这一系列对话,我们希望最终能形成一个数据可携性框架,以便改善我们自己及他人的产品开发工作,倡导行业合作,并为未来的相关立法提供指导。

为此,本白皮书体阐述了有关数据隐私和可携性的五大疑问:

什么是“数据可携性”?

哪些数据应具有可携性?

谁的数据应具有可携性?

如何在实现数据可携性的同时保障隐私?

传输数据后,若出现滥用或保护不当问题,应由谁负责?

幸运的是,一些重要的利益相关者已经围绕这些问题进行了说明,包括欧盟数据保护权威机构于 2017 年在欧盟《通用数据保护条例》(GDPR) 背景下发布的《数据可携权指南》,新加坡个人信息保护委员会于近日发布的两份相关文件,由欧盟委员会竞争总署负责编制的《数字时代的竞争政策》报告,由英国数字、文化、媒体和体育部负责编制的《数据移动性》报告等等。

尽管如此,围绕这些问题展开进一步的讨论并提供更多的指导意见对行业而言百利而无一弊。

值得注意的是,本白皮书重点探讨的是由个人用户选择发起的数据传输,而不是企业与企业之间的数据传输。我们承认企业与企业之间的数据传输在选择权和竞争方面也有重要的意义。正因为如此,我们正在探寻向其他企业提供数据的方式,以便为其他企业提供所需帮助,例如帮助它们训练人工智能模型。

企业与企业之间的数据传输与个人用户选择发起的数据传输对于隐私所造成的影响有所不同。在本白皮书中,我们将重点探讨由个人用户选择发起的数据传输,但是我们仍会继续与相关专业人士合作,共同探索其他类型的数据传输。

在此,我们要提前感谢所有利益相关者参与这次重要的讨论,同时也欢迎并期待所有利益相关者提供反馈意见。

I. 挑战

Facebook 制定了一套核心隐私理念,其中一条理念是:“我们支持用户自行控制如何使用其个人信息(3)。基于这一理念,我们构建了多种工具,例如允许人们选择谁可以查看其个人资料和其发布的帖子以及广告偏好的控件,其中广告偏好可以帮助人们控制如何使用其信息来向其显示广告。

我们构建的这些工具可以帮助人们控制如何在 Facebook 上使用其信息。但是,我们也明白,允许人们控制其信息意味着允许人们将其信息转移到其他服务提供商,进而便于选择并促进竞争。总而言之,我们应当开发并构建能够增强数据可携性的产品。

近年来,随着 GDPR 和加州消费者隐私法 (CCPA) 等法规的出台,数据可携性在一些地区已成为一项法律要求,但在此之前,Facebook 已经在思考如何帮助人们更好地将其 Facebook 数据传输到其他平台和服务。例如,自 2010 年开始,我们便推出了“下载您的信息”(DYI),以帮助人们访问并与其他在线服务提供商共享其信息。随着 GDPR 生效,我们对 DYI 进行了调整,以允许人们以通用的 JSON 格式化格式接收其信息,从而使 DYI 更加符合可携性需求


虽然DYI 是一款较完善的数据可携性工具,但我们认为可以精益求精,以便人们能够更加轻松地通过 DYI 将其数据传输到其他服务,从而方便人们更好地进行选择和控制。马克·扎克伯格在其最近的一篇特写稿中写道:“在真正实现数据可携性后,人们应当能够像通过我们的平台登录应用程序那样传输数据,而不是只像现在这样下载已存档的信息。” 换言之,人们应该能够直接将其信息传输到他们选择的服务提供商,正如他们现在使用 Facebook Login进行登录一样。

为实现这一目标,我们联合 Google、Microsoft、Twitter、Apple 及其他企业一同启动了开源数据传输项目,这是一个开源软件项目,旨在帮助参与者开发互通性系统,以允许个人用户在各在线服务提供商之间无缝传输其数据。此项目在一定程度上是由于受到 GDPR 中提出的可携权的启发而发起的,不过我们认为在不久的将来,数据可携性在欧盟以外地区也会成为常态。例如,加州最新制定的数据可携性法规将于 2020 年正式生效;新加坡、澳大利亚、印度、香港及其他国家/地区的政府也可能会在不久的将来通过支持数据可携性的相关法规;而且欧盟委员会在探讨数字时代的竞争政策的过程中也在思考可携性问题。

数据可携性的支持者们表示,为了成功实现可携性,行业必须要解决潜在的基本隐私问题,例如本白皮书中提出的隐私问题。但是,至于服务提供商可以如何或应该如何平衡数据可携性为个人自主权、创新和竞争所带来的益处与可携性 所引发的潜在隐私和安全性风险,目前尚无详尽细致的指导意见。例如,欧盟第 29 条数据保护工作组(欧洲数据保护委员会已接替该工作组,并采用了该工作组制定的《数据可携权指南》)虽然承认数据可携性工具会带来数据安全风险,但同时也表示安全措施不应“阻碍”人们行使可携权。同样地,虽然该工作组指出了有必要对数据可携权加以限制,以免该权利的行使对他人造成伤害,但工作组并未对此限制条件的实施方式或时间提供具体的指导意见。

此外,有些关于可携性的指导意见似乎与关于数据保护职责(即将数据传输到第三方后,企业有责任保护数据免遭第三方滥用)的指导意见相冲突。隐私监管机构已明确表示,至少在与第三方的关系方面,像我们这样的平台应当考虑数据传输可能会产生的隐私风险并制定相应的保护措施。但是,对于 GDRP 中提出的数据可携权,欧盟第 29 条数据保护工作组不仅赞成应允许人们向第三方披露其数据,而且还表示“发送数据的控制者无需对接收数据的控制者是否遵守数据保护法规承担任何责任,因为数据接收者并不是由发送数据的控制者选择的。”

一些探讨数字化市场中的竞争问题的报告强调了数据可携性对于创新的重要价值,且同时指出必须解决数据可携性可能会引发的数据隐私和安全风险。例如,英国的数字竞争专家小组在其发布的报告中表示:“在通过任意方式支持这种形式的数据共享的同时,还必须确保制定完善的隐私保护措施,以保护用户隐私权并满足用户期待。” 但遗憾的是,这篇报告并未详细阐述应制定哪些保护措施。

随着数据可携性的日益普及,如果能够制定明确的规则,帮助我们解决有关数据可携性、数据隐私和相关职责划分的种种问题,我们以及其他所有企业都将受益匪浅。

II. 关于数据可携性与责任归属的五大疑问

如前所述,数据可携性能够帮助人们控制其数据并自行选择最符合其需求的服务。但与此同时,数据可携性也会给保护个人隐私权益带来挑战。为了应对这些挑战,我们正积极寻求众多利益相关者的反馈和指导意见,以便确定以何种方式推动数据可携性建设既能赋予用户自主权进而促进竞争,又能维持用户对在线服务的信任。在本节内容中,我们将探讨五个相关的重要疑问,如果能解答这五大疑问,这将有助于我们开发和构建新一代数据可携性产品。与此同时,我们将分享一些关于如何解答这五大疑问的想法,以进一步促进围绕这些重要主题的讨论与交流。

问题 1: 什么是“数据可携性”?

根据一些探讨数据可携性的信息源,人们可能会认为数据可携性是一个具有明确含义的简单概念。例如第 29 条工作组称,在GDPR背景下,可携性就是指接收个人数据并将其从一个服务提供商传输到另一个服务提供商的权利。而国际标准化组织将“数据可携性”定义为“无需重新输入数据即可轻松地将数据从一个系统传输到另一个系统的能力”,着重强调了数据转移的容易程度。但是,如果跳出专业人士围绕数据可携性开展的深奥讨论,我们发现人们对数据可携性所持有的意见存在显著差异。实际上,有人呼吁要增强数据可携性,也有人呼吁要限制人们与第三方共享数据的能力,有时同一个利益相关者会同时发出这两个呼吁。后一个呼吁通常与我们的消费者应用程序平台(简称为“平台”)有关,这些平台是我们为向开发人员提供的用于满足以下两个目标的一系列技术:

(1)允许人们与开发人员的应用程序共享其 Facebook 信息;

(2)将开发人员的应用程序中的数据发送到 Facebook。其中最著名的平台要属 Facebook Login,该平台允许人们登录并将其信息共享到第三方应用程序

特别是在发生 Cambridge Analytica公司事件之后,众多利益相关者一直在呼吁我们限制第三方应用程序通过 Facebook Login 接收的信息,并加强 Facebook 对接收信息的应用程序的监管。这些呼吁表明,一些人可能认为平台到应用程序的数据传输与“真正的”数据可携性所实现的数据传输有所不同。例如,Facebook 2019年与美国联邦贸易委员会达成的和解协议便以不同的方式分别处理由可携性实现的传输和其他类型的数据传输。

不同的是,也有人认为 Cambridge Analytica公司事件是由数据可携性引起的,这意味着当我们这样的平台(以及 iOS、Android、Twitter等)允许人们与应用程序共享数据时,我们便已经在实施数据可携性了。

由此产生了一个问题,即用户提出的传输数据的请求何时构成“可携性”请求?这个问题的答案至关重要,尤其是考虑到可携性请求所涉及的合法权利。例如,GDPR 要求必须“无障碍地”满足可携性请求,而这一要求引发了以下问题:服务提供商是否可以拒绝可携性请求、是否可以限制所请求的数据或是否可以在数据传输后限制第三方对数据的使用。

很明显,许多利益相关者认为平台应该对用户数据的接收者施加数据使用限制,但问题是服务提供商是否必须提供替代机制以允许不受限制的数据传输。如果答案是必须提供,那么受限的数据传输和不受限的数据传输究竟有何不同?

在回答这个问题之前,有必要澄清的一点是大部分由用户主导的向第三方传输数据的过程看起来都是相似的。数据传输一般涉及三方:提出请求的用户(请求人)、负责数据传输的实体(传输实体)和接收数据的实体(接收实体)。

从技术角度来看,数据传输过程包含三个步骤:

(1)当请求人指示传输实体导出其数据时,即表示数据传输开始;

(2)然后,传输实体将请求的数据发送给请求人(请求人随后可能会使用该数据或将其发送给接收实体)或直接发送给接收实体;

(3)将数据共享到接收实体后,用户就可以在相应服务上或通过相应服务与数据交互。

虽然数据传输过程看起来相似,但不同类型的数据传输在实际操作中可能会有所不同。可用于区分不同类型的数据传输的一个关键因素是传输实体和接收实体之间的关系以及这二者之间进行数据传输时所需遵守的规则(如果有)。一般而言,可将由用户主导的不同类型的数据传输视为一个连续体,在这个连续体中,随着传输实体与接收实体之间的关系变得更加密切,数据传输的限制将逐步增多(暂时先不考虑传输的数据所属的范围,此问题将在本白皮书后面的内容中加以讨论)。由用户主导的数据传输可分为三大类,如下所述:

开放性传输

提出请求的用户可以接收其数据并将数据传输到任何接收实体,而无需受传输实体对接收实体施加的任何管制或限制(除法律规定以外的限制)。在这种传输模型中,用户可以通过他们自己的设备(如我们的 DYI 工具)将数据传输到接收实体,或者也可以由传输实体直接传输。除了为实现数据传输而进行技术方面的联系之外,传输实体和接收实体之间没有任何关系。这种模型似乎最符合 GDPR和第 29 条工作组的预期。

条件性传输

提出请求的用户可以接收其数据,并将数据传输给任何满足传输实体所规定的特定条件的接收实体。传输实体和接收实体之间的关系只是为了实现此类用户请求而存在,它们之间并没有持续的关系。如下所述,我们可以按这种方式来思考用户提出的直接在不同服务提供商之间转移数据的请求,这也正是开源数据传输项目所希望实现的技术手段

合作性传输

提出请求的用户可以接收其数据,并将数据传输到与传输实体长期进行数据传输因而与传输实体存在长期合作关系的接收实体,在这种合作中,可能制定了有关接收实体应如何使用通过传输所获得的数据的规定。

由此可见,传输实体和接收实体之间的关系不仅仅是为了实现用户提出的数据传输请求,还具有其他目的,例如将其中一个实体所拥有的功能集成到另一个实体的产品中。通过 Facebook 平台进行的数据传输便属于合作性传输。

在思考可携性时,需要意识到上述三种由用户主导的数据传输之间所存在的差异。基于此,我们需要回答的问题是:哪种类型的数据传输应被视为涉及“数据可携性”?在每种传输模型中,交易各方是否需承担任何义务,如果需要,各方分别应承担哪些义务?

开放性传输似乎非常符合 GDPR和其它地方所描述的数据可携性的性质,但是对于存在限制的条件性传输(在条件性传输中,传输实体可以选择限制用户能向哪些第三方实体发送数据)而言,这些限制是否符合可携权呢?此外,是否应将合作性传输(如通过 Facebook 平台进行的数据传输)视为涉及数据可携性呢?

通过与诸多利益相关者围绕这些问题开展交流沟通,我们目前得到的统一意见是即使在进行数据传输以实现可携性请求时,传输实体也可以且应当针对数据传输施行一些基本的隐私和数据保护限制条件。但问题是应施行什么样的限制条件。有些人认为我们平台施行的限制条件有些过于严苛,不符合可携性标准。我们最近与美国联邦贸易委员会达成的和解协议表明,一些监管机构可能认为平台式数据传输显然不同于可携性数据传输。这两类数据传输之间的分界线很可能会成为可携性数据传输和其他数据传输之间的分界线。

问题2: 哪些数据应具有可携性?

实现数据可携性的一个主要目的在于为人们提供对其个人数据的控制权,但究竟什么是“个人数据”?人们显然能够传输某些类型的数据,例如他们上传到某个服务的照片或者发布到社交网络的帖子等等,但是至于人们还能够传输哪些其他数据,目前还不太清楚。

人们是否应该能够导出服务提供商在使用其功能时收到的信息(例如,搜索历史记录、位置数据和活动日志等)?人们是否应能够导出服务提供商根据其上传的数据或与服务的互动所产生的个人相关信息(例如用于进行音乐、活动和广告个性化设置的信息或用于识别潜在欺诈活动的信息)?

根据 GDPR 和第 29 条工作组的建议,应该对享有可携权的数据施加限制。GDPR规定人们“提供给”数据控制者的个人数据应具有可携性。第 29 条工作组建议人们应能够传输他们向服务提供商“主动提供”的个人数据或服务提供商在人们使用其服务时所“观察”到的个人相关数据,而不应传输服务提供商根据人们对服务的使用所推断出的个人相关数据。

当提及与服务使用情况相关的个人数据时,还有一个特别值得注意的问题,即服务提供商对数据的保留可能会对“哪些数据应具有可携性”这一问题产生何种影响?可以肯定的是,不应要求服务提供商仅仅为了实现可携性而保留数据,因为至少有些数据可能仅仅是因为在请求时不可用才无法传输的。但是,对于技术上可用但很快就会被删除的数据来说,服务提供商是否也应该构建导出此类数据的工具呢?

此外,是否存在使数据可携的负担超出导出数据所带来的好处这样的情况呢?例如与服务使用情况相关的个人数据可能会包含某个人在一定时间段内查看的每个页面或每条内容、点击的每个链接以及收到的每个通知。服务提供商通常会将包含这些信息的日志记录保留一段时间,但是使这些日志数据变得可携的过程可能会很困难,而且有时可能对用户并没有显著的好处。例如,是否需要导出列出了在特定时间段内在 Facebook上单击的所有链接的列表?或者是否需要导出在浏览 News Feed 期间所查看的每条广告?

鉴于数据可携性具有鼓励竞争和催生新服务的目的,我们在思考可携性相关问题时应当要考虑数据可携性给服务提供商带来的运营负担,因为很多服务提供商的资源并没有 Facebook这样的大企业充足。从这个角度来看,显然应该对服务提供商所承担的数据可携性义务施加一些限制条件。综合考量并权衡数据保留期限以及服务提供商的负担与相应的用户利益可能会有助于确定应施加哪些限制条件或这些限制条件应适用于谁。但是,我们还需要明确如何进行这方面的权衡取舍以及由谁进行权衡取舍。

问题 3:谁的数据应具有可携性?

数据可携性可帮助人们控制其个人数据。

但是,如果一个人想要传输与他人相关的数据,应如何处理呢?例如人物 A 想要将她的照片从一个服务转移到另一个服务,但那些照片中包含人物 B 的图像,这该如何处理呢?在这种情况下,B对其信息是否享有控制权?如果人们想将其手机通讯录中的内容或所有联系人的生日导出到新服务,这又该如何处理呢?在这种情况下,通讯录中的联系人是否应有权决定要不要将其信息共享到新服务?

如这些示例所示,在收到数据可携性请求后,有时很难明确应能够传输谁的数据。Facebook 对此有着特别切身的体会,因为 Facebook 的核心功能是允许用户与其他人进行联系并创建共享体验,但传输联系人或朋友相关数据的这种功能可能会引发特别复杂的隐私问题。

一些人表示,在收到可携性请求后,只应传输归请求人本人“所有”的数据。这些人进一步表示,如果提出请求的用户向服务提供的数据归其本人所有,那么他们应该能够随心所欲地处理其所拥有的数据,包括将其转移到其他实体。反之,如果想要传输的数据中有些数据并不是归提出请求的用户所有,那么他们将不能传输这些数据。

与此同时,有人认为,将数据视为个人财产的这种概念具有争议性,且可能会引发更多超出可携性讨论范围的问题。例如,许多类型的信息实际上具有多个所有者。举例说明,如果您的通讯录中有我的电话号码,那么您是该电话号码的所有者吗?此外,在欧盟,数据保护是一项基本权利,并不会因为所涉数据归谁“所有”而发生变化。

到请求后,还有另外一种方式可帮助决定应传输谁的数据,这种方式要求考虑“谁提供了数据”、“服务提供商是否已将数据与某位特定用户相关联”及“数据敏感度”等因素。请思考以下场景:

人物 A 上传了一个包含她本人及其三个朋友(人物 B、C、D)的视频,而且她没有采取任何措施来帮助服务商识别这三个朋友(比如对他们进行“标记”)。

乍看之下,A 显然应该有权将此视频转移到一个新的服务商,但是 B、C、D是否对此视频享有任何权利?如果有,他们应享有什么权利?此外,A 和服务商之间谁更适合处理 B、C、D 的权利问题?

现在假设一个略有不同的场景:A 要上传上述视频,但她对 B、C、D 进行了标记,且这三个人恰好都是该服务的用户。在此场景中,服务提供商将有权通知这三人 A 提出了视频传输请求,但他们是否应有权阻止 A 传输视频呢?

如果我们讨论的不是视频,而是 A 联系人名单中的电子邮件地址,那么上述问题的答案可能会发生什么变化?对 A 来说,传输电子邮件地址是比传输照片更容易还是更困难?如果想要将电子邮件本身传输到新的电子邮件服务商(例如从 Gmail 传输到 Outlook),那么上述问题的答案又会发生什么变化呢?

在分析谁的数据应具有可携性时,与仅考虑数据所有权的方法相比,综合考虑上述所有问题以及上述因素的多因素方法可能会更加合适。但是,至于应如何衡量这些因素,还需要开展更多的讨论和征询更多的指导意见。

在讨论谁的数据应具有可携性这个问题时,很多人通常会提及个人“社交图”的可携性,“社交图”是指服务的某个用户与该服务的其他用户和实体之间的关系图。一些支持数据可携性的人表示,像 Facebook 这样的服务商必须允许人们传输其个人数据以及有关其社交图的数据,其部分原因在于有关社交图的数据可能会帮助其他社交网络公司进行创新。这些支持者认为,如果社交图没有携性,用户将可能无法无缝地将相关数据转移到其他社交网络。

我们认为双方都有强有力的论据:支持社交图的可携性对促进创新和竞争可能有重要作用,但这样做也伴随着严重的隐私问题。因此,关键问题在于能否找到有效方法来实现这种数据共享,并同时保护所有相关人员的隐私。我们接下来将讨论此问题。

问题 4:如何在实现数据可携性的同时保障隐私?

问题 1 至 3 探讨的是人们在选择转移其数据之前需了解的信息,包括

(1)处理的是由用户主导的数据传输;

(2)应传输哪些类型的数据;

(3)应传输谁的数据。在了解这些信息之后,我们需要知晓如何在实现数据可携性的同时保障隐私。

虽然已经出台了要求数据传输的法规(包括数据可携性法规),但是对于与数据传输相关的隐私保护问题,目前几乎还没有指导意见。鉴于可携性工具会引发隐私和安全风险,而且政策制定者和监管机构未明确表示希望传输实体如何保障隐私,众多利益相关者已经表达了对这方面的担忧。

进一步明确隐私保护问题至关重要,因为要想通过数据可携性增强用户对其个人数据的控制,用户应该能够信任相关实体会在传输期间和传输后负责任地处理其数据。要想厘清关于隐私和数据可携性的问题,思考传输实体能对以下相关方采取哪些行动会有所帮助:

(1)提出请求的用户(请求用户);

(2)其数据要被传输的非请求用户(非请求用户);

(3)数据接收实体。

请求用户

鉴于数据可携性是为了帮助人们控制其个人数据,传输实体显然应务必确保请求用户在传输其数据时做出明智的选择,这意味着须确保请求用户了解要将其数据传输到的实体的相关信息。但是,究竟请求用户应了解哪些信息?应该如何提供这些信息?应由谁提供这些信息?这些问题都还没有得到决策者、监管者或其他利益相关者的充分解答。

在对 GDPR 中提出的数据可携性进行的评估中,第 29 条工作组表示,虽然应由个人“自行负责”“找到适当的措施来保护将要传输到相应实体的个人数据”,但是传输实体应提醒数据主体以使其“意识”到可采用的适当措施。

与第 29 条工作组发布的指南相比,新加坡个人信息保护委员会最近发布的一份讨论文件建议传输实体应提供更多信息,包括数据接收实体将如何使用用户数据,用户所购买的新产品或服务的性质,以及数据接收实体的跟踪记录、声誉及其数据管理和保护措施。在 2019 年 5 月发布的以可携性为主题的咨询报告中,新加坡个人信息保护委员会进一步提议,应在行业规则中明确规定相关组织向用户提供相关信息。

对于是否应向要传输数据的个人提供任何信息,应提供哪些信息,如何有效地提供这些信息,以及应由谁提供这些信息等问题,上述意见和提议提供了很好的讨论起点,不过还需要展开进一步讨论。

非请求用户

有些数据可携性请求所涉及的数据可能与提出可携性请求的主体之外的其他主体(即“非请求用户”)相关联。

如上所述,对于是否应传输这些用户的数据,还存在尚未解决的复杂问题。如果应该传输,服务提供商将必须考虑这些用户的隐私权益。一些利益相关者建议制定同意机制或者采用类似的方法,以允许用户授权其他用户从特定服务中导出其数据,即允许用户 A 授权用户 B 将 A 的数据共享到某个接收实体。如果将同意机制视为解决与传输非请求用户的数据有关的问题的可行方案,我们接下来需要探讨以下问题:

1)服务商能否为非请求用户提供合理的选择和控制权?如果能,应如何提供?

2)若要求征求同意,是否会对可携性造成过度限制?如果不会,应如何征求同意?

3)每当有朋友想要与应用程序共享其数据时,非请求用户是否都能选择要不要导出其数据?

4)对于特定服务的用户,是否应该使用某个设置,以允许用户始终允许其朋友(或其他联系人)向第三方传输其所有或特定类型的个人数据?

5)对于在特定服务上共享的非用户的信息,应如何处理?

a. 社交图数据的可携性

如上所述,一些利益相关者认为,社交图信息(例如联系人名单)的传输对于帮助新兴社交网络公司实现创新并推出新服务具有重要作用。关于可采用哪些方式促进此类信息的传输,已经展开了大量的讨论,并提出了一些具体的提议。在这些提议中,有一条提议是先对用户及其联系人的个人身份标识符进行加密隐藏处理(或“哈希处理”)后再进行导出,有人将这条提议视为“最有可能帮助实现社交图可携性的途径。”

按照这种方式,接收实体将无法获取用户身份标识符(如电子邮件地址),但却依然能够重构传输数据的用户的社交图。这样可以避免披露不必要的个人数据,进而帮助解决与第三方共享朋友的数据所产生的隐私风险。

但是,有专业人士指出,这个提议“要求相关方在技术层面展开重要合作,而这可能会引发意料之外的隐私和安全风险以及法律合规问题。”接下来,我们将探讨两个经常讨论的用于共享经过哈希处理的联系人数据的方式,以及这两种方式可能会引发的风险。

首先,可以肯定的是,服务提供商能够共享一系列与请求用户及其联系人相关且经过哈希处理的身份标识符。

第一种方式是共享经过哈希处理的联系人的姓名(姓名不一定是唯一的)或电子邮件地址,这也是最简单的方式。通过这种方式,如果用户 A 和 B 都与用户 C 有联系,且与同一个服务商共享了其经过哈希处理的联系人名单,那么该服务商将知晓 A 和 B 都与 C 有联系,但是却无法了解关于 C 的其他信息,除非 C 也将其个人数据传输到此服务商。

第二种方式是共享与用户间关系相关的标识符,而不是与用户本人相关的标识符。通过这种方式,如果用户 A 和 B 都是用户 C 的朋友,且与同一个服务商共享了其联系人名单,那么该服务商将无法像上面那样知晓 A 和 B 都是 C 的朋友,因为用于标识 A 与 C 之间关系的标识符不同于标识 B 与 C 之间关系的标识符。但是,如果用户 C 也选择共享其联系人清单,那么 C 与 A、C 与 B之间的关系标识符将分别等同于 A 与 C、B 与 C 之间的关系标识符,此时,服务提供商也将知晓 C 与 A 和 B 都有联系。

这两种方式都有缺陷,因此需要同利益相关者展开进一步讨论。

在第一种方式中,接收实体或许能够仅仅凭借用户 C 与 A 和 B 的关系就推断出 C 的其他信息。例如,如果 A 和 B 在同一家公司工作或是同一个政党的成员,那么接收实体或许能够推断出 C 的其他信息,且只需获取极少的补充信息,便能够确定 C 的身份。

在第二种方式中,问题虽然不会出现这样的问题,但是接收实体会受到更多限制,因为只有当两个联系人同时选择与接收实体共享其信息时,接收实体才能够识别两个联系人之间的关系。

社交图数据共享还存在另外一个挑战,即需要确定一个通用的数据模型,这个模型不仅要足够具体以便能在一个特定服务中使用,而且还要足够宽泛以便能在不同服务中应用。

例如,有些社交网络仅允许每个用户拥有一个帐户,而其他社交网络则允许一个用户拥有多个帐户。

如果用户 A 只与用户 B 的一个帐户相关联,而没有与 B 的其他帐户相关联,那么当 A 或 B 将其联系人清单共享到仅允许一个用户拥有一个帐户的服务商时,应如何反映 A 和 B 之间的这种关系?

此外,当用户将其联系人数据从一个允许匿名的社交网络转移到一个要求实名的社交网络时,还会引发其他数据风险,因为接收实体(甚至请求用户)或许能够凭借匿名用户共同的已知联系人推断出他们的真实身份。

不仅如此,如果我们考虑到社交活动的更多层面,社交图数据共享会变得更加复杂。

例如,如果将用户 A 的一篇帖子转移到另外一个社交网络,而用户 B 在该帖子发表了评论或点了赞,那么 B 的评论在新的社交网络上应何时显示?谁应该能够看到这条评论?又应如何标识 B 的身份?

要回答这些问题,不仅要考虑新的社交网络上所使用的受众控制设置,还要考虑该社交网络用于传输联系人数据和标识联系人的机制。

潜在的个人数据接收实体

在过去一年中,许多利益相关方都在呼吁服务提供商做出更多努力,以防止某些第三方滥用数据。但是,若考虑到可携性,服务提供商究竟应做出哪些努力?

关于这个问题,目前几乎没有专业人士发表意见。在 GDPR 背景下,第 29 条工作组发布的指南仅规定传输实体“有责任采取所有必要的安全措施,以确保将个人数据安全地传输(通过使用端到端传输或数据加密)到正确的目的地(通过使用强有力的身份验证措施)。”此指南还建议采用风险缓解措施,例如在怀疑帐户遭到入侵时,要求提供额外的身份验证信息,或者暂停或终止传输。但是这些安全措施“不得阻碍用户行使其相应权利”。

除了上述这些基本意见之外,第 29 条工作组未详细说明服务提供商应如何保护数据免遭第三方滥用。在与利益相关者的交流中,我们经常听到一些利益相关者呼吁负责数据传输的服务提供商施加更多控制,以确保接收实体在处理用户数据时考虑隐私和安全需求。例如,传输实体可以要求接收实体声明以下两点:

(1)应数据传输请求,他们将为何以及如何使用接收到的数据;

(2)他们将依照所有适用法规和数据保护规定来处理数据。此外,还有利益相关者甚至呼吁传输实体考虑监控接收实体对数据的处理,并对未依照相关适用法规和数据保护规定的接收实体予以相应处分。这项要求虽然不是完全无法实现,但要实现也是极其困难的,而且这似乎并不符合GDPR 中的可携性规定。

与此同时,有些人表示上面提出的这些要求可能并不符合“真正”的可携性需求。

这些人提出了以下疑问:如果人们想要将其数据传输到特定实体,那传输实体是否有责任评估数据传输的目的或接收实体是否遵守相关法规呢?如果传输实体和接收实体在相关的法规内容上持有不同意见,那该如何处理呢?决定权是否在传输实体手上?传输实体为保障数据传输安全所采取的监控力度在达到某个程度后可能会过度地限制用户将数据转移到其他服务商的能力。

针对上述疑问,有人提议制定一个认证体系。

在认证体系下,用户数据的潜在接收实体需通过独立机构的认证,并以此来证明自己满足特定法规(例如 GDPR)中列出的数据保护和数据处理标准。在此之后,经过认证的接收实体将收到一个印章证明,进而能够接收由传输实体发来的数据。独立的认证机构将负责评估有待认证的实体是否符合资格,并在适当的情况下撤销实体已获得的资格条件,在执行这些工作时,认证机构也可能咨询相关的监管机构。

如果提供商所在的国家/地区缺乏完善的数据保护框架,那么他们可能会面临一个非常棘手的难题,因为他们需要创建一套以数据可携性为中心且由独立机构负责执行的行为准则。此行为准则可能会要求相关实体在接收用户请求的数据之前先实施隐私和安全保护措施。而负责执行准则的独立机构将能够监控其签约方以识别潜在的违规行为。在这种情况下,关键的问题在于如果接收实体违背了准则或未签署准则,应该如何处理。即使用户请求将信息传输到未遵守或未签署准则的接收实体,用户仍然能从接收实体未遵守或未签署准则的事实中了解到有关其数据隐私和安全保护措施的重要信息。

问题 5:传输数据后,若出现滥用或保护不当问题,应由谁负责?

个人和服务提供商都需要明确知道在传输用户请求的数据之前、在传输的过程中以及在传输之后,应分别由谁负责处理和保护数据。监管机构已明确表示,像 Facebook 这样的平台可能需要确保在将某些用户请求的数据传输到第三方后数据得到适当保护。但是,对于数据可携性请求,也是如此吗?

关于行使 GDPR 框架下的数据可携权,第 29 条工作组发布的指南明确规定了当服务提供商应用户请求将数据传输到其他实体时,各相关方所应承担的责任。一般而言,责任的划分与数据传输到新目标的过程相一致。在传输数据之前和数据传输的过程中,负责数据传输的服务提供商有责任代表请求用户行事,确保将数据传输到正确的接收实体,并处理与数据可携性相关的任何风险。而接收实体必须确保只接收与他们向请求用户所提供的服务相关的必要数据。

在完成数据传输后,负责传输的服务提供商对数据主体或接收个人数据其他公司如何处理数据不负有任何责任(因为它们仅代表数据主体行事,且接收实体并不是由它们选择的)。根据第 29 条工作组的意见,责任应归于接收实体,接收实体必须根据其在 GDPR 框架下的义务来处理和保护接收的个人数据。

新加坡个人数据保护委员会还在其发布的讨论文件中提出了一种赔偿责任模式,其中传输实体将无需对因接收实体滥用数据而引起的损害承担任何赔偿责任。该委员会表示,由于传输实体无法对所有潜在接收实体进行审查,所以应当设置这项责任免除条件。

这份文件还表示,传输实体不应当“对传输的数据的准确性和质量负有任何赔偿责任,除非能够证明数据在由传输实体负责管理时便已受损”。该委员会在最近发表的以可携性为主题的咨询报告中没有提到赔偿责任,但似乎将传输实体在数据传输后所需承担的责任限制为“确认接收实体已收到传输的数据,并协助接收实体处理任何与已传输的数据相关的问询。”

但在某些情况下,政策制定者和监管机构显然希望传输实体即使在数据传输完成后仍能承担一定的责任。要使这一现实情况与第 29 条工作组发布的指南以及新加坡个人数据保护委员会发布的讨论文件相一致,我们需要进一步澄清服务提供商所承担的责任可能会根据数据传输的类型(即在第 II 部分“问题 1”中讨论的开放性传输、条件性传输或者合作性传输)而有所不同。例如,在合作性传输中,传输实体与接收实体有着更加密切的联系,而且数据传输的目的不仅仅在于满足用户的请求,那么在这种类型的传输中,传输实体是否应承担更多责任呢?

在开放性传输中,服务提供商所应承担的最大责任或许在于帮助用户应对将数据提供给新服务所伴随的风险。而在数据传输完成后,保护数据的责任应完全由数据接收实体承担。服务提供商可能会探索各种工具来帮助用户了解与其下载的数据相关的安全风险和协议要求。服务提供商还可能会考虑向用户提供有关指导,以帮助其调查接收实体是否存在数据滥用或安全保护措施不足的情况。例如,提供商可以指导用户如何确认接收实体的真实性(即接收实体所言的情况是否属实)、如何检查接收实体的网站安全性(例如 HTTP 和 HTTPS 之间的差异)、如何在下载数据时保护其设备(例如在下载数据时不使用公共 Wi-Fi),以及如何确定接收方实体是否制定了适当的政策(例如查看隐私政策以确定接收实体是否会出售其接收的用户数据)。

在条件性传输中,服务提供商可以要求接收实体证明他们已通过标准机构的认证,并证明他们符合相关的行为准则,或表明他们将在实现传输请求之前根据适用的法律和数据保护规定来处理个人数据。一旦服务提供者收到此类证明或声明,他们便无需为数据传输完成后发生的问题承担任何责任。

在合作性传输中,或许更应该要求传输实体即使在数据传输后仍承担一定程度的责任。如果可行的话,或许也可以要求传输实体在数据传输后更加严格地监督接收实体如何处理数据。

最后要指出的是,当考虑到第三方应数据可携性请求而传输的数据所涉及的个人时,也存在复杂的责任分配问题。第 29 条工作组发布的指南指出,如果用户提出的数据可携性请求涉及第三方所拥有的个人数据,请求用户还需要负责由用户发起的数据处理操作(前提是数据处理操作并不是由数据控制者决定的),但家用或个人使用的情况除外。对请求传输联系人数据的用户施加责任(和赔偿责任)可能会抑制对可携性,特别是对“社交图”可携性的追求热情。我们所希望的更加理想的结果是仅要求请求用户在出现了非常不合理或者轻行为的情况(例如,在明知接收实体出现过数据滥用或保护数据不当行为的情况下,仍将其联系人数据传输给该实体)下才需承担赔偿责任。

III. 展望

数据可携性有望为人们提供前所未有的信息控制能力,并为持续创新和充满活力的在线竞争提供有效支持。GDPR 和其他相关法规也鼓励相关方大力投资开发和构建可携性工具。

本白皮书及其推动的后续讨论旨在探索并解决与如何以保护隐私的方式实现可携性相关的一系列复杂问题,进而促进实现数据可携性。我们坚信本白皮书可以发挥其应有的作用,我们也期待在接下来的时间里与各利益相关者展开进一步合作。